Beiträge

December 2, 2019

SDM 2.0: Die DSGVO als Nacherzählung

In einem früheren Leben war ich mal Lehrer, ungelogen. Eine Aufsatzform im Deutschunterricht der Orientierungsstufe war damals die Nacherzählung. Daran erinnerte mich nun eine der letzten Veröffentlichungen der Datenschutzkonferenz: das Standard-Datenschutzmodell 2.0 (SDM). Die ersten zwei Drittel sind eigentlich eine in Prosa gefasste Wiedergabe der DSGVO. Was sich jetzt vielleicht nach Hohn und Spott anhört, ist tatsächlich keiner. Denn das Wirrwarr der DSGVO, gesetzgebungshandwerklich höchstens auf mäßigem Niveau, wird mit dem SDM 2.0 konsolidiert und durch die 7 Gewährleistungsziele mit einem roten Faden versehen. Mindestens Datenschutz-Anfänger finden mit dem SDM einen einigermaßen nachvollziehbaren Einstieg in die Umsetzung der DSGVO. Für Profis hält das SDM nicht viel Neues vor, in Teil D aber immerhin Anregungen für eine modernere Strukturierung der TOM.



November 29, 2019

Entwurf für einen Code of Conduct zum Einsatz DS-GVO Konformer Pseudonymisierung

Neulich wurde im Rahmen des Digital-Gipfel 2019 (vormals Nationaler IT-Gipfel) der Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung vorgestellt, den Vertreter aus Forschung, Wirtschaft und Gesellschaft (Fokusgruppe Datenschutz des Bundesinnenministeriums) erarbeitet haben. Mit dem Code of Conduct sollen Verhaltensregeln im Sinne von Art. 40 Abs. 2 lit. d) DS-GVO für eine datenschutzkonforme Pseudonymisierung beschrieben werden. Der Code of Conduct enthält hauptsächlich Prozessuale Vorgaben zum Einsatz und Betrieb einer Pseudonymisierung sowie Anwendungsbeispiele. Für die Finalisierung des Code of Conduct bedarf es noch der Genehmigung einer Aufsichtsbehörde sowie der Festlegung von Prozessen zur Kontrolle der Einhaltung des Codes. Die bereits formulierten Anwendungsbeispiele sollen zudem um sektorspezifische Good Practices erweitert werden.



November 5, 2019

Bußgeldkonzept der DSK

Die Datenschutzkonferenz hat im Oktober ihr achtseitiges DSGVO-Bußgeldkonzept veröffentlicht. Es soll nur auf Unternehmen bei nicht-grenzüberschreitenden Fällen angewandt werden und nicht auf Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Die Bußgeldfestsetzung erfolgt dabei in fünf Schritten:

1. Zuordnung des Unternehmens einer Größenklasse
2. Bestimmung des mittleren Jahresumsatzes der Untergruppe
3. Ermittlung eines wirtschaftlichen Grundwertes
4. Multiplikation des Grundwertes mit einem von der Schwere der Tatumstände abhängigen Faktor
5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger Umstände

Ob dieses Konzept auch zu verhältnismäßigen Geldbußen führen wird, ist fraglich. Denn ein großes Unternehmen erzielt automatisch einen höheren Grundwert, und die korrigierende Wirkung von Tat- und täterbezogenen Umständen bleibt unklar.



November 4, 2019

Profiling und Tracking im Internet nicht notwendig für Vertragsschluss

Der Europäische Datenschutzausschuss hat kürzlich eine Handreichung zur Verarbeitung personenbezogener Daten zum Zweck der Vertragserfüllung im Rahmen des Angebots und der Nutzung von Online Diensten veröffentlicht. Diese Form der Verarbeitung ist auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. b) EU-DSGVO datenschutzrechtlich zulässig, wenn sie zur Erfüllung eines Vertrags, dessen Person die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. So soll beispielsweise die Verarbeitung von Kreditkarteninformationen, von Rechnungsdaten sowie der Lieferanschrift an die Heimatadresse des Kunden im Rahmen eines regulären Online Einkaufs zulässig sein. Für den Fall, dass der Kunde beim Kauf die Lieferung an eine Abholstation ausgewählt hat, wird die Verarbeitung der Heimatanschrift zur Vertragserfüllung als nicht mehr erforderlich qualifiziert. Der Europäische Datenschutzausschuss hat zur Anwendung der Norm weitere Fallkategorien gebildet und dabei klargestellt, dass die Datenverarbeitung zum Zweck der Betrugsprävention bei Online Käufen ebenso wenig auf Art. 6 Abs. 1 lit. b) EU-DSGVO gestützt werden könnte wie Online Tracking und Profiling.



October 9, 2019

Verarbeiten Sie Sozialdaten im öffentlichen Auftrag?

Dann wundern Sie sich nicht, wenn die nächste Ausschreibung eine aktuelle ISO 9001 oder ISO 27001-Zertififzierung verlangt. Laut einem Beschluss der Vergabekammer des Bundes vom 19.07.2019 ist dies besonders durch die hohen gesetzlichen Anforderungen an die Sicherheit der Verarbeitung von Sozialdaten gerechtfertigt und wird auf § 49 Abs. 1 VgV gestützt. Dabei spielt es keine Rolle, ob der öffentliche Auftraggeber selbst zertifiziert ist, denn bei internen Prozessen könne man die Sicherheit der Verarbeitung schließlich selbst einschätzen.

Übrigens kann eine Werbeaussage „Zertifiziert nach ISO 9001“ auch bei ordnungsgemäßer Zertifizierung eine irreführende Wettbewerbsverletzung darstellen, wenn nicht klar ersichtlich ist, auf welche Dienstleistung sich die Zertifizierung bezieht, entschied das OLG Düsseldorf.



October 8, 2019

OLG Düsseldorf: Kartellamt vs. Facebook

Nachdem sich die Datenschutzaufsichtsbehörden schon länger für die Verarbeitung von Nutzerdaten durch Facebook interessierten, hatte zuletzt auch das Bundeskartellamt (BKartA) die Datenverarbeitung geprüft und festgestellt, dass Facebook seine Marktmacht durch den Umfang der Sammlung, Verwertung und Zuführung von Daten aus dem Nutzerkonto missbrauche. Aus diesem Grund hat das BKartA dem Unternehmen im Februar 2019 untersagt, Nutzerdaten aus verschiedenen Quellen zusammenzuführen. Gegen diese Anordnung hat Facebook beim OLG Düsseldorf Rechtsmittel eingelegt. Der 1. Kartellsenat des OLG Düsseldorf hat daraufhin Zweifel an der Rechtmäßigkeit der kartellbehördlichen Anordnung geäußert, da ein möglicher Verstoß gegen Datenschutzbestimmungen nicht zugleich einen Verstoß gegen das Wettbewerbsrecht bedeute. Über den Bestand der Anordnung des BKartA wird nun in dem beim OLG Düsseldorf anhängigen Beschwerdeverfahren entschieden werden.



September 3, 2019

Stößt sich Berlin am Datenschutz gesund?

Arm, aber sexy“ und alimentiert über den Finanzausgleich – damit ist in Berlin vielleicht bald Schluss, denn der Datenschutz könnte sich als interessante Einnahmequelle für das Land erweisen: Die Berliner Beauftragte für den Datenschutz informierte das Berliner Abgeordnetenhaus laut Medienberichten kürzlich über DSGVO-Bußgelder in Rekordhöhe, die sich gegen zwei Berliner Unternehmen abzeichnen. Das eine erhielt offenbar zwei Bußgeldbescheide in Höhe von insgesamt 200.000 EUR. Das andere darf sich wohl auf einen Bescheid im zweistelligen Millionenbereich freuen. Dies wären dann die bisher höchsten Bußgelder, die in Deutschland gemäß DSGVO verhängt wurden. Diese sieht Bußgelder von bis zu 20 Mio. EUR oder bis zu 4 % des gesamten Vorjahresumsatzes eines Unternehmens vor. In Berlin fließen die Bußgelder in den Landeshaushalt. Den Finanzsenator dürfte es freuen.



September 2, 2019

Zulässigkeit der Ausweiskopie

Im Geschäftsleben ist die Kopie des Ausweises schon länger ein beliebtes Mittel zur Identitätskontrolle. Dabei ist das Kopieren von Ausweisdokumenten überhaupt erst seit 2017 erlaubt. Nun darf nur der Inhaber selbst die Kopie vornehmen und diese an Dritte weitergeben. Die mit der Speicherung einer Kopie verbundene Verarbeitung der dort enthaltenen personenbezogenen Daten soll nur mit Einwilligung des Inhabers zulässig sein. Das ist deswegen problematisch, weil die Feststellung der Identität durchaus auch im Rahmen einer Vertragserfüllung oder eines berechtigten Interesses liegen kann. Ein Infopapier des LDI NRW zum Thema erwähnt die Einwilligung nur nebenbei und stellt ansonsten auf die Erforderlichkeit ab. Damit bleibt unklar, auf welchen Rechtsgrundlagen DSGVO abgestellt werden kann. In jedem Fall sollte die Kopie nicht dauerhaft gespeichert, sondern nach Identitätsfeststellung gelöscht werden.



August 1, 2019

Verteidigung der Persönlichkeitsrechte durch Flugabwehr #Drohnentod

Das Fliegen einer kameraausgestatteten Drohne über dem Nachbargrundstück ist keine kindlich-unschuldige Freizeitbeschäftigung, sondern eine Beeinträchtigung der Persönlichkeitsrechte der Nachbarn. Das musste ein Drohnenpilot vor dem Amtsgericht Riesa lernen, der mit der Drohne seines Cousins das gegen Blicke geschützte Nachbargrundstück überflogen, die Ehefrau des Nachbarn verfolgt und deren gemeinsame Kinder verängstigt hatte. Der Nachbar griff kurzerhand zum handelsüblichen Luftgewehr und holte die Beeinträchtigung der Persönlichkeitsrechte seiner Familie mit zwei Schüssen vom Himmel, was zum Totalschaden des Fluggeräts führte. Das Gericht sprach den Nachbarn vom Vorwurf der Sachbeschädigung frei, da dieser im bürgerlich rechtlichen Notstand (§ 228 BGB) gehandelt hatte. Erst luftgestützt ausspähen, dann noch Strafantrag stellen: Mimimi.



July 30, 2019

Bestellpflicht für Datenschutzbeauftragte

Der Datenschutzbeauftragte – für manche das Unwort des Jahres 2018. Die Pflicht zur Bestellung bestand zwar schon vorher,  viele beschäftigen sich trotzdem erst aus Anlass der DSGVO mit dieser Institution. Die Nachfrage stieg massiv an. Nun wird die Grenze für die Bestellpflicht von 10 auf 20 dauerhaft datenverarbeitende Personen angehoben. So hat es der Bundestag im 2. DSAnpUG-EU beschlossen. Kleinere Unternehmen sollen entlastet werden. Die müssen aber natürlich auch ohne DSB-Pflicht die Vorgaben der DSGVO weiter erfüllen. Hierzu hätte man besser beim Beratungsbedarf ansetzen sollen, nicht bei der Beratungspflicht. Viele Vorgaben des Datenschutzes sind immer noch ungeklärt oder so komplex und undurchdringlich, dass diese für Laien ohne Hilfe kaum umzusetzen sind. So manche gesparte DSB-Vergütung dürfte künftig direkt in verhängte Bußgelder fließen.